Home > Notícias

Update do Lion possui erro de programação que exibe senhas do usuário

Combinação entre atualização do sistema e versão antiga do utilitário FileVault pode permitir acesso a combinações não criptografadas

Computerworld/EUA

07/05/2012 às 12h23

Foto:

O último update do sistema operacional OS X da Apple, o Lion, contém um erro perigoso de programação que revela senhas armazenadas na primeira versão do utilitário FileVault, tecnologia de criptografia da empresa, de acordo com o consultor de software David I. Emery. 

O especialista escreveu no site Crytome a respeito de um bug deixado inadvertidamente na última versão do Lion (10.7.3) que grava em texto não codificado a senha necessária para abrir a pasta de usuário criptografada por uma versão anterior do FileVault. Os usuários vulneráveis são aqueles que fizeram o update do sistema operacional, mas utilizam uma versão antiga do utilitário. “A partição segura do FileVault deveria proteger os usuários exatamente disso”, afirmou Emery. 

Dessa forma, a pasta pessoal do usuário é migrada e fica vulnerável por causa dessa falha na segurança, pois a senha se torna acessível para qualquer pessoa que possua uma conta de administrador, entretanto o pior é que senhas também podem ser lidas claramente se a máquina “for iniciada no modo de disco FireWire, pois permite ler [as senhas] ao abrir o drive como um disco ou fazendo boot em uma nova partição de recuperação do Lion. Isso permitiria a qualquer pessoa acessar partições criptografadas em máquinas sem precisar de qualquer informação de login ou senha”, explicou o consultor.  

No entanto, existem maneiras de atenuar o problema. Emery escreveu que um ataque através do disco FireWire ou de uma partição de recuperação pode ser evitado ao utilizar o FileVault 2. Um invasor teria que saber pelo menos uma senha antes que o arquivo pudesse ser acessado na pasta principal do disco, de acordo com o expert. Além disso, o usuário pode estipular uma senha de firmware para autenticar o boot a partir da partição de recuperação, mídia externa ou até mesmo para entrar no modo de disco FireWire. 

A Apple foi procurada mas não comentou o caso. 

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail